DNB: ICT-risicomanagement onder DORA onderdeel van personentoetsingen

DNB: ICT-risicomanagement onder DORA onderdeel van personentoetsingen

November 28, 2024

Risk Management Rules and Legislation Technology
Apple computer internet social media (Pixabay, Ylanite) 980x600.jpg

Met de Digital Operational Resilience Act (DORA) wordt van instellingen in de financiële sector verwacht dat ze digitaal weerbaar zijn en hun ICT-risicomanagement op orde hebben. Dit stelt specifieke eisen aan de kennis en ervaring van de personen die het beleid van deze instellingen bepalen.

DORA is vanaf 17 januari 2025 van toepassing en zal op de volgende manieren onderdeel zijn van personentoetsingen: 

  • Bij de beoordeling van het aangeleverde toetsingsdossier wordt kennis en ervaring op het gebied van ICT-risicomanagement meegewogen. Een nadere toelichting hierover kan worden gedeeld in de besluitvorming en overwegingen bij de benoeming en/of in de toelichting van de geschiktheidsmatrix. 
  • Ook in toetsingsgesprekken kan DORA aan de orde komen. Een kandidaat kan worden gevraagd naar zijn of haar kennis van DORA, ICT- risicomanagement en de digitale weerbaarheid van de instelling. 

Verwachtingen 

Bij het beoordelen van de geschiktheid hanteert DNB de geschiktheidsonderwerpen A t/m E zoals opgenomen in de Beleidsregel geschiktheid 2012 | De Nederlandsche Bank. Van een kandidaat-bestuurder, -commissaris, -toezichthouder of andere (mede)beleidsbepaler wordt onder andere verwacht dat diegene: 

  • Kan aangeven wat onder DORA wordt verstaan en wat de belangrijkste eisen zijn die deze wetgeving stelt ten aanzien van digitale operationele weerbaarheid. 
  • Heeft, afhankelijk van zijn of haar functie, in voldoende mate kennis en ervaring op het gebied van ICT-risicomanagement, ICT-incidenten, het (periodiek) testen van digitale operationele weerbaarheid, de beheersing van uitbestedingsrisico’s en de samenwerking rond uitwisseling van informatie over cyberdreigingen.  
  • Is in staat om ten aanzien van ICT-risicomanagement verantwoordelijkheid te dragen, op adequate wijze strategie en beleid te vormen en navolgbare beslissingen te nemen (of daarop toe te zien als interne toezichthouder).  
  • Beschikt in voldoende mate beschikt over relevante competenties zoals adaptief vermogen, helikopterzicht, omgevingssensitiviteit, onafhankelijke oordeelsvorming en overtuigingskracht. 

Proportionele toepassing 

Bij de toetsing houden we rekening met de specifieke functie, de aard, omvang, complexiteit en het risicoprofiel van de instelling en de samenstelling en het functioneren van het collectief. We verwachten daarom van een beleidsbepaler die verantwoordelijk is voor het ICT-risicobeheer meer diepgaande kennis, ervaring en competenties ten aanzien van aan DORA gerelateerde onderwerpen dan van een beleidsbepaler met een meer algemene portefeuille.

Related posts